Les Shadow Brokers se rappellent à notre bon souvenir avec un nouveau « message de service ». Pour rappel, ce mystérieux groupe de pirates diffuse depuis le mois de juin des outils de piratage de la NSA sous la forme d’un abonnement mensuel payé en Zcash. Le dernier message récapitule les différentes « livraisons » et les prix à payer. Tous les dumps réalisés à ce jour sont accessibles en ligne depuis la plateforme Mega.nz. Les fichiers sont évidemment chiffrés à l’exception d’un seul : un manuel PDF lié à l’un des logiciels livrés en août.
Le logiciel décrit dans ce document est une plateforme très sophistiquée baptisée UnitedRake que le NSA utilise pour espionner les ordinateurs Windows. Ce nom est déjà apparu à plusieurs reprises dans les documents d’Edward Snowden, et notamment dans le catalogue des outils de piratage de l’unité TAO, les hackers d’élite de la NSA. UnitedRake se présente comme un outil véritablement professionnel. Il est « totalement adaptable » et composé de cinq types d’éléments : un logiciel serveur, une interface graphique, une base de donnée, des modules de plugins et de logiciels client. Ces derniers sont déployés sur les ordinateurs ciblés sous la forme de chevaux de Troie.
Le logiciel serveur s’installe sous Windows Server 2003 SP2 avec un minimum de 1027 Mo de RAM et 40 Go de stockage. La base de données est MS SQL Server 2008. Les logiciels clients sont, quant à eux, compatibles avec toutes les versions de Windows, de XP à Windows 8. Le document détaille toutes les étapes d’installation et d’administration. Les communications entre les clients et le serveur se font en HTTP ou TCP.
UnitedRake ne fournit, semble-t-il, que l’infrastructure de base. Pour réaliser l’espionnage proprement dit, il faut envoyer sur l’ordinateur ciblé des « modules de plugin distants » qui peuvent être installés et supprimés « de façon dynamique ».
On peut supposer que ces modules permettent de couvrir la totalité des fonctions d’espionnage habituelles : enregistrement des frappes de clavier, collecte des données du disque, captation audio/vidéo, copie d’écran, etc. L’un de ces plugins est détaillé dans les documents d’Edward Snowden, à savoir « Wistfultoll ». Il permet de récolter des informations techniques et forensiques des ordinateurs infectés.
Ceux qui voudront entrer en possession de ce puissant logiciel d’espionnage sont évidemment priés de passer à la caisse. Le dump du mois d’août coûte 500 ZEC, ce qui représente presque 100.000 euros. Comparé aux dumps suivants, c’est presque une bonne affaire. La livraison du mois de novembre coûtera 16.000 ZEC, soit plus de… 3 millions d’euros !
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.